Systemavstängningen orsakas av nt auktoritetssystem. Ner med användarnivå: höjer privilegierna till NT AUTHORITYSYSTEM i valfri version av Windows

UPPMÄRKSAMHET!!! UPPMÄRKSAMHET!!! UPPMÄRKSAMHET!!!
FARLIG MASK!!!

Symtom: När du arbetar på nätverket dyker plötsligt ett meddelande upp som informerar dig om att det är nödvändigt att avsluta alla program som sparar data eftersom... efter 60 sek. en omstart kommer att ske.

Diagnos: Nätverksmask w32.Blaster.worm. Masken utnyttjar en sårbarhet som hittades den 16 juli i RPC DCOM-tjänsten, som finns i alla operativsystem Windows familjer 2000, Windows XP och Windows 2003. Denna sårbarhet är ett buffertspill, som orsakas av ett korrekt utformat TCP/IP-paket som anländer till port 135, 139 eller 445 på den attackerade datorn. Den tillåter, som ett minimum, att utföra en DoS-attack (DoS betyder "Denial of Service", eller "Denial of Service"; i det här fallet startas den attackerade datorn om), och, som ett maximum, att exekvera valfri kod i minnet av den attackerade datorn. När den nya masken sprider sig attackerar den port 135 och, om den lyckas, startar programmet TFTP.exe, med hjälp av vilket den laddar ner sin körbara fil till den attackerade datorn. I det här fallet får användaren ett meddelande om att stoppa RPC-tjänsten och sedan starta om. Efter en omstart startar masken automatiskt och börjar skanna nätverk som är tillgängliga från datorn för datorer med öppen port 135. Om någon upptäcks, utlöser masken en attack och allt upprepas om igen. Dessutom, att döma av spridningshastigheten för tillfället, kommer masken snart att ta förstaplatsen i listorna över antivirusföretag.

Medicin: Det finns tre sätt att skydda sig mot masken. För det första innehåller Microsoft-bulletinen länkar till patchar för alla sårbara versioner av Windows som stänger RPC-felet (dessa patchar släpptes den 16 juli, så de som regelbundet uppdaterar sitt system bör inte oroa sig). För det andra, om port 135 stängs av en brandvägg, kommer masken inte att kunna penetrera datorn. För det tredje, inaktivering av DCOM hjälper som en sista utväg (denna procedur beskrivs i detalj i Microsoft-bulletinen). Således, om du ännu inte har blivit attackerad av en mask, rekommenderas det starkt att ladda ner en patch för ditt operativsystem från en Microsoft-server så snart som möjligt (till exempel använd Windows Update-tjänster), eller konfigurera blockering av portar 135, 139 och 445 i brandväggen. Om din dator redan är infekterad (och utseendet på ett RPC-felmeddelande betyder tydligt att den är infekterad), måste du stänga av DCOM (annars kommer varje efterföljande attack att orsaka en omstart), ladda ner och installera patchen. För att förstöra masken måste du ta bort "windows auto update"="msblast.exe"-posten från registernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run och sedan hitta och radera filen msblast.exe - detta är maskens kropp. Du kan läsa mer om proceduren för borttagning av mask på Symantecs webbplats.

För närvarande upptäcker inte alla antivirus masken, du kan bara hoppas på skydd från dem efter att uppdateringar har släppts.

Om du inte har fått ett sådant meddelande än, ladda ner patchar från Uncle Bill:

Här är länkar till medicin för NT 4.0 och 2000, 2003 Server

Bokstavligen några dagar innan numret gick i tryck, förvärvade Metasploit
en ny modul som vi helt enkelt inte kunde låta bli att berätta om. Tack vare
nytt getsystem-kommando, på ett komprometterat system är det nu möjligt att gå
från användarnivå till ring0, får NT AUTHORITY\SYSTEM rättigheter! Och detta - i någon
versioner av Windows.

Den 19 januari 2010 blev en 0-dagars sårbarhet offentlig, vilket tillåter
höjning av privilegier när som helst Windows-versioner, från och med NT 3.1, släppt i
1993, och slutade med den nymodiga "sjuan". På exploit-db.com av hackaren Tavis
Ormandy publicerade både källorna till KiTrap0d-exploateringen och den kompilerade versionen
binär, redo att användas. Vem som helst kan prova den ursprungliga exploateringen
villig. För att göra detta behöver du bara extrahera vdmexploit.dll och vdmallowed.exe från arkivet,
överför den på något sätt till offermaskinen och kör exe-filen där. I
resultat, oavsett vilket användarkonto
startar, kommer en konsol att visas med systemanvändarbehörigheter, det vill säga NT
MYNDIGHET\SYSTEM. För att kontrollera kan du köra Sploit på din maskin,
har tidigare loggat in i systemet som en vanlig användare. Efter lansering
Sploit kommer att öppna ett nytt cmd.exe-fönster med maximala privilegier.

Vad ger detta? Föreställ dig en situation där ett utnyttjande bryter igenom någon applikation och
får ett skal på fjärrdator. Låt detta vara en samlingspunkt för Internet
Utforskare - i det här fallet kommer angriparen att ha tillgång till systemet med rättigheterna
användaren under vars konto webbläsaren startades. Jag bråkar inte, mycket
ofta kommer detta att vara ett konto med administratörsrättigheter (det är fel på användaren), men
om inte? Det är här du kan använda KiTrap0d för att öka dina privilegier
till NT AUTHORITY\SYSTEM! Dessutom även de användare som är medlemmar i gruppen
administratör kan inte komma åt vissa delar av systemet, t.ex.
läsa hash för användarlösenord (mer om detta nedan). Och NT-systemkontot -
Kanske! Med allt detta, vid tidpunkten för publiceringen av artikeln fanns det inte en enda patch från
Microsoft har inte släppt en fix för sårbarheten.

Övertagande av driftsystem

Vi kommer inte att visa den ursprungliga exploateringen i aktion, eftersom 25
Januari lades ett nytt manus till Metasploit, tack vare vilket du kan använda
KiTrap0d har blivit ännu bekvämare. Alternativet som ursprungligen ingick i moduldatabaserna var
instabil och fungerade inte alltid, men det gick inte ens en halv dag innan alla fel dök upp
utslagen. Nu laddas modulen ner tillsammans med alla andra uppdateringar,
så för att installera, välj bara menyalternativet "Metasploit update".
Nu, med tillgång till fjärrsystemet, kan du skriva "kör kitrap0d" och ta med
kommer att samlas till handling. "Men eftersom det finns en sådan spree, låt oss genomföra den här saken
ett speciellt team, tänkte Metasploit-utvecklarna
Detta är ett underbart "höja privilegier"-kommando, tillgängligt via
meterpreter extension - vi gillar det verkligen :).

Så vi har tillgång till fjärrsystemet (illustrerande exempel
operation ges i artikeln "Operation Aurora") och vi är i konsolen
metasploit. Låt oss se hur vi gör med rättigheter:

meterpreter > getuid

Ja, vanlig användare. Kanske är han till och med en del av gruppen
administratörer, men det spelar ingen roll för oss. Vi ansluter modulen där den är implementerad
kommandot getsystem vi är intresserade av, och kontrollera om det har laddats genom att visa
hjälpskärm:

meterpreter > använd priv
Laddar tillägg priv...success.
meterpreter > getsystem -h
Användning: getsystem
Försök att höja ditt privilegium till det lokala systemet.
ALTERNATIV:

H Hjälp Banner.
-t Tekniken att använda. (Standard till "0").
0: Alla tillgängliga tekniker
1: Service – Named Pipe Imitation (I Memory/Admin)
2: Service – Named Pipe Imitation (Dropper/Admin)
3: Service - Token Duplicering (i minnet/admin)
4: Exploit - KiTrap0D (i minnet/användare)

Som du kan se implementerar KiTrap0D-fusionen endast en del av kommandots funktionalitet.
Om du lyckades ta ett skal med en användare som redan har rättigheter
administratör och sedan för att höja till nivån NT AUTHORITY\SYSTEM som du kan använda
tre andra tekniker (-t-tangenten låter dig välja den du behöver). I alla fall utan att specificera
inga parametrar alls, vi kommer att berätta för metasploiten vad den kan använda
någon av tillvägagångssätten. Inklusive KiTrap0D, vilket kommer att öka våra privilegier till nivån
"Systemet", oavsett vilka rättigheter vi har för närvarande.

meterpreter > getsystem
...fick system (via teknik 4).

Ja, vi fick ett meddelande om en lyckad höjning av privilegier och för en attack
Det var KiTrap0D som användes - tydligen har den prioritet. Är vi verkligen
steg i systemet? Låt oss kontrollera vårt nuvarande UID (användaridentifierare):

meterpreter > getuid

Äta! Bara ett kommando i metasploit-konsolen och NT AUTHORITY\SYSTEM-rättigheter
oss i din ficka. Dessutom, generellt sett, är allt möjligt. Låt mig påminna dig, inte en enda
Det fanns ingen patch från Microsoft när tidningen publicerades.

Dumpa lösenord

Eftersom du redan har tillgång till systemkontot måste du extrahera från detta
något användbart. Metasploit har ett underbart hashdump-kommando -
en mer avancerad version av det välkända verktyget pwdump. Dessutom i det sista
version av metasploit innehåller en reviderad version av skriptet som använder
en moderniserad princip för att extrahera LANMAN/NTLM-hashar och har ännu inte upptäckts
antivirus. Men det är inte meningen. Det är viktigt att utföra hashdump-kommandot
Rättigheter för NT ATHORITY\SYSTEM krävs. Annars kommer programmet att ge ett fel
"[-] priv_passwd_get_sam_hashes: Operation misslyckades: 87". Detta händer pga
att LANMAN/NTLM-hashar av användarlösenord lagras i speciella registergrenar
HKEY_LOCAL_MACHINE\SAM och HKEY_LOCAL_MACHINE\SECURITY, som inte är tillgängliga ens
administratörer. De kan endast läsas med systemkontoprivilegier.
Generellt sett, använd exploit och sedan hashdump-kommandot till
lokalt extrahera hashen från registret är inte alls nödvändigt. Men om sådant
Möjligheten finns, varför inte?

meterpreter > getuid
Serveranvändarnamn: NT AUTHORITY\SYSTEM

meterpreter > kör hashdump
[*] Får startnyckeln...
[*] Beräknar hboot-nyckeln med SYSKEY 3ed7[...]
[*] Hämtar användarlistan och nycklar...
[*] Dekrypterar användarnycklar...
[*] Dumpar hash för lösenord...

Administratör:500:aad3b435b51404eeaad3b435b51404ee:...
Gäst:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistent:1000:ce909bd50f46021bf4aa40680422f646:...

Hasharna har tagits emot. Allt som återstår är att mata dem till en av de råa våldsmakarna, till exempel,
l0phtcrack.

Hur kan jag få tillbaka mina privilegier?

En rolig situation hände när jag försökte återställa rättigheterna till det normala
användaren tillbaka. Kommandot rev2self jag hittade fungerade inte och jag fortfarande
förblev "NT AUTHORITY\SYSTEM": uppenbarligen är det designat för att fungera med tre
andra tillvägagångssätt implementerade i getsystem. Det visade sig komma tillbaka
privilegier, är det nödvändigt att "stjäla" token för processen som startas av den användaren,
som vi behöver. Därför visar vi alla processer med kommandot ps och väljer från dem
lämplig:

mätare > ps
Processlista
============
PID-namn Arch User Path
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...

Som vi kan se lanseras explorer.exe precis under den normala användaren
konto och har PID=1560. Nu kan du faktiskt "stjäla en token" genom att använda
kommandot steal_token. PID skickas till den som den enda parametern
nödvändig process:

meterpreter > steal_token 1558
Stulen token med användarnamn: WINXPSP3\user
meterpreter > getuid
Serveranvändarnamn: WINXPSP3\user

Av fältet "Serveranvändarnamn" att döma lyckades operationen.

Hur det fungerar?

Slutligen är det värt att tala om karaktären av den sårbarhet som ledde till uppkomsten
Sploit. Säkerhetsintrånget uppstår på grund av ett fel i systemprocessorn
#GP avbryter (som kallas nt!KiTrap). På grund av det med kärnprivilegier
kan bli gjort godtycklig kod. Detta händer eftersom systemet
kontrollerar felaktigt vissa BIOS-anrop på en 32-bitars x86-plattform
ett 16-bitarsprogram körs. För att utnyttja sårbarheten skapar exploateringen
16-bitars applikation (%windir%\twunk_16.exe), manipulerar en del
systemet strukturerar och anropar funktionen NtVdmControl() för att starta
Windows Virtual DOS Machine (alias NTVDM-undersystem), vilket som ett resultat av tidigare
manipulation leder till att #GP-systemets avbrottshanterare anropas och
när utnyttjandet utlöses. Detta leder förresten till den enda begränsningen
exploatering som bara fungerar på 32-bitars system. I 64-bitars
Operativsystem har helt enkelt ingen emulator för att köra 16-bitars applikationer.

Varför blev information med en färdig exploatering allmänt tillgänglig? Om tillgänglighet
Författaren till utnyttjandet informerade Microsoft om sårbarheten i början av förra året och
fick till och med bekräftelse på att hans rapport hade godkänts för behandling. Endast vagn
och nu där. Under ett år fanns det ingen officiell patch från företaget, och författaren bestämde sig
publicera information offentligt i hopp om att saker och ting kommer att gå snabbare. Låt oss se,
kommer patchen vara tillgänglig när tidningen börjar säljas :)?

Hur du skyddar dig från bedrifter

Eftersom det inte finns någon fullständig uppdatering för att lösa sårbarheten ännu,
du måste använda lösningar. Det mest pålitliga alternativet är
inaktivera MSDOS- och WOWEXEC-undersystemen, vilket omedelbart kommer att beröva utnyttjandet
funktionalitet, eftersom det kommer inte längre att kunna anropa NtVdmControl()-funktionen
för att starta NTVDM-systemet. I äldre versioner av Windows görs detta via
registret där du behöver hitta grenen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
och lägg till någon symbol till dess namn. För modernt OS
du måste ställa in en begränsning för att köra 16-bitars applikationer via
grupppolicyer. För att göra detta, ring GPEDIT.MSC och gå sedan till avsnittet
"Användarkonfiguration/administrativa mallar/Windows-komponenter/kompatibilitet
applikationer" och aktivera alternativet "Förbjud åtkomst till 16-bitars
applikationer".

WWW

Beskrivning av sårbarheten från upphovsmannen till exploateringen:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Lösning från Microsoft:

http://support.microsoft.com/kb/979682

VARNING

Informationen presenteras i utbildningssyfte. Använder den i
för olagliga ändamål kan leda till straffansvar.

Nyligen, närmare bestämt för en vecka sedan, tog jag tag i en mask, och detta har aldrig hänt i all min tekokning! Det är natt - du kan inte ringa en tekniker, och pengarna finns bara på kortet - 200 rubel i fickan. Vad ska jag göra, jag behöver desperat en dator!

Via telefonen går jag in i sökmotorer och skriver in namnet skrivet i ämnestiteln - min mamma, vad får jag reda på - den här varelsen har levt på Internet sedan 1993, och Microsoft Corporation vet om det, informerade skaparen dem specifikt. Idag, när den här masken kommer in i din dator, får den administratörsrättigheter och kan utföra alla tricks.

Efter att ha utforskat flera dussin forum, efter att ha läst hundratals tips på en dag, utan att veta hur jag ska sova, klättrar jag ner i djupet av mitt system och börjar med skakande hand att öppna mappar och filer som jag läser om. Med envishet av en hungrig varg, jag letar efter orsaken, men... Jag är för oerfaren för detta. Återigen, via telefonen, går jag till vår hemsida och skriver till en av våra moderatorer... Problemet är mycket knepigt och för att inte plåga mig råder personen mig att riva systemet och installera ett nytt, men jag har aldrig gjort detta själv! Han berättar per telefon för mig (utan kostnad för fjärrsamtal) hur man gör det steg för steg, och jag sitter och skriver ner det. Efter det väntar han på resultatet, och jag sitter och förstår att jag är väldigt ledsen för den samlade informationen... och jag fattar ett beslut, river jag den kommer jag alltid ha tid, men nu ska jag kämpa på min egen.

Jag visste i alla fall att våra gurus var bredvid mig och de skulle ge råd om vad de skulle göra och hur. Under tiden, på egen risk och risk, gör jag följande:

1) Bannern stänger av datorn för att starta om efter 60 sekunder - detta betyder att denna tid måste ökas, och på inrådan av en forummedlem Jag lyckas ställa tillbaka klockan ett år!

2) Jag tittar redan lugnt och långsamt igenom hela registret och programmen genom AnvirTaskManager - han var den enda som frågade om utseendet nytt program, men som en soss lät jag det passera.

3) att jag inte förstår någonting där, startar jag fullständig genomsökning AVAST, efter att ha installerat alla tillägg i inställningarna tidigare.

efter 3,5 timmar gav han mig 6 ​​infekterade filer - här är de

win32 malware-gen (2 stycken)

Fakeinst-T (2st)

Jag tar helt enkelt bort dessa skadedjur utan att ens försöka behandla dem.

4) Sedan går jag till Revo Unystailer och tar bort allt som jag installerat under de senaste dagarna, tillsammans med AnvirTaskManager och Reg Organizier.

5) Jag laddar AVZ och startar den.

Och här uppstår ett problem - min disk är delad i två C och N. C skannas normalt och hittar inget, så fort den börjar skanna N går hela datorn i dvala. Jag startar om - bannern dyker inte längre upp och jag lugnar mig, Internet fungerar, men mozillan öppnas inte, jag går igenom Google Chrome.

Jag kontrollerar N i on-line-läge. Rent! Jag öppnar N, försök att välja en mapp - igen fryser datorn! Efter flera försök att öppna den, skannade jag den igen med AVAST och jag hittade inget och bestämmer mig för att kopiera allt till C.

Efter kopiering till C rensar jag alla N och går in i kopian - allt fungerar!!!

För en timme sedan laddade jag ner och uppdaterade Mozilla och nu njuter jag av livet. Jag kollade allt och nu ska jag uppdatera Dr. W curellt och sätta på det över natten - bara för att lindra mitt samvete! Så kom ihåg, kära kollegor, allt är inte så läskigt. För din dators säkerhet, gör som anges i den bifogade filen!!!

Må våra datorer vara friska!!!

Med respekt till alla läsare Alexey!

Som en del av ett av projekten var jag tvungen att konfigurera en applikation som skulle fungera säkerhetskopiering databaser på en fjärransluten MS SQL-server till en fillagring på en annan server. Få tillgång till fjärrlagring kontot som MS SQL körs under används. I vårt fall lanserades MS SQL under ett lokalt konto Nätverkstjänst(NT AUTHORITY\NetworkService). Naturligtvis har detta lokala konto ingen behörighet på fjärrdelningen. Det var naturligtvis möjligt att byta MS SQL för att fungera under ett domänkonto (eller), men du kan konfigurera Fjärranslutning till andelen och under NT AUTHORITY\NetworkService.

Hur man tillåter åtkomst till andra datorer under NetworkService-kontot

Om du behöver ge åtkomst till flera datorer är det enklaste sättet att kombinera dem till en grupp och ge åtkomst till gruppen. Skapa en ny grupp i AD och lägg till alla datorkonton som ska komma åt nätverksresursen med Network Service-rättigheter. Ge gruppen de nödvändiga behörigheterna i mappegenskaperna.

Hur är det med andra lokala konton?

När du ger tillgång till en resurs via konto dator, beviljas åtkomst till alla andra lokala konton? Nej – åtkomst kommer endast att vara tillgänglig för konton Systemet Och Nätverkstjänst. Alla lokala konton som behöver tillåtas åtkomst till en nätverksresurs måste ges åtkomst individuellt.